|
| 23. May, 2026 |
  |
Wordpres problem
Više od polovice korisnika popularnog dodatka Funnel Builder još uvijek koristi ranjivu verziju koja napadačima omogućuje krađu brojeva kreditnih kartica.
Popularni WordPress dodatak Funnel Builder, namijenjen prilagodbi stranica za naplatu u WooCommerce trgovinama, sadrži kritičnu sigurnosnu ranjivost. Prema sigurnosnim stručnjacima, napadači je iskorištavaju za krađu podataka o kreditnim karticama izravno s preglednika kupaca.
Ranjivost, označena kao CVE-2026-47100 s ocjenom ozbiljnosti 8,7 od 10, otkrivena je 14. svibnja 2026. od strane tima za kibernetičku sigurnost e-trgovine Sansec. Iako je ispravak objavljen u verziji 3.15.0.3 već dan ranije, statistike pokazuju da više od polovice aktivnih instalacija i dalje koristi ranjivu verziju.
Mehanizam napada temelji se na pogrešci u autentifikaciji. Tehnička ulazna točka (AJAX endpoint) dodatka prihvaća zahtjeve bez provjere identiteta pošiljatelja. Iskorištavanjem ove ranjivosti napadač može upisati zlonamjerni kod u globalne postavke dodatka, u polje namijenjeno za vanjske skripte poput Google Analyticsa.
Ovaj zlonamjerni kod automatski se učitava na svakoj stranici za naplatu, u pregledniku svakog kupca. Kako bi izbjegao detekciju, maskira se kao legitimna skripta Google Tag Managera. U stvarnosti dekodira skrivenu adresu putem base64 formata kako bi učitavao vanjsku datoteku koja zatim otvara WebSocket vezu – kanal za komunikaciju u stvarnom vremenu između preglednika i napadačeva poslužitelja. Tim kanalom prenose se podaci uneseni u obrazac za plaćanje: broj kartice, CVV kod i adresa za naplatu.
Ova vrsta napada, poznata kao Magecart, posebna je po tome što zlonamjerni kod ne mijenja nijednu datoteku na web stranici. On se nalazi u opciji unutar WordPress baze podataka, što ga čini nevidljivim za standardne skenere datoteka.
Kupci nemaju načina otkriti ugroženu stranicu prije nego što unesu svoje podatke. U slučaju sumnjive transakcije Zakon o platnom prometu (članak 133-24, koji prenosi europsku direktivu DSP2) predviđa rok od 13 mjeseci za prijavu prijevarne operacije banci i ostvarivanje prava na povrat novca. Ovaj rok ne treba miješati s rokom od osam tjedana koji se odnosi isključivo na osporavanje iznosa kod autoriziranih plaćanja.
|
 Komentari 0
Trenutno nema komentara na ovaj članak ...
NAPOMENA: Newsexchange ne preuzima odgovornost za komentatore i sadržaj koji objavljuju. U krajnjem slučaju, komentari se brišu ili se isključuje mogućnost komentiranja ...
|
|
|
 Slike:
Objavljeno  23. May, 2026
|
|
|
|
|
|
Mediji
(0%)
